Kennisbank

Cookiebanner nodig?
Wanneer wel en wanneer niet.

De meeste websites hebben een cookiebanner. De meeste ondernemers weten niet precies waarom. En bijna niemand weet wat die cookiebanner zelf doet met de data van je bezoekers.

Wat zegt de wet?

De regels rondom cookies en tracking komen uit twee Europese wetten: de ePrivacy Richtlijn (ook wel de "cookiewet") en de AVG (Algemene Verordening Gegevensbescherming, internationaal GDPR). Samen bepalen ze wanneer je toestemming nodig hebt van je bezoekers.

De ePrivacy Richtlijn (Artikel 5.3)

De ePrivacy Richtlijn stelt dat je voorafgaande toestemming nodig hebt voordat je informatie opslaat op of uitleest van het apparaat van een bezoeker. Dat betekent: geen cookies plaatsen voordat de bezoeker expliciet akkoord gaat. Er is een uitzondering: cookies die strikt noodzakelijk zijn voor het functioneren van de door de bezoeker gevraagde dienst. Een sessiecookie voor een winkelwagen is strikt noodzakelijk. Een analytics cookie niet.

De AVG

De AVG classificeert cookie identifiers als persoonsgegevens. Voor de verwerking van persoonsgegevens heb je een wettelijke grondslag nodig. De meest gebruikte grondslagen zijn toestemming (de bezoeker geeft expliciet akkoord) of gerechtvaardigd belang (je hebt een zakelijk belang dat zwaarder weegt dan het privacybelang van de bezoeker). De Europese toezichthouders (EDPB) en de Nederlandse Autoriteit Persoonsgegevens hanteren een strenge interpretatie: voor niet-essentiele cookies en tracking is toestemming de enige valide grondslag.

In gewoon Nederlands

Als je website cookies plaatst die niet strikt noodzakelijk zijn voor het functioneren van de site, heb je vooraf toestemming nodig. Dat geldt voor: analytics cookies (Google Analytics), advertentie cookies (Facebook Pixel, Google Ads), tracking cookies (Hotjar, Microsoft Clarity), social media cookies (share buttons die data lekken), en externe font cookies (Google Fonts). Als je website geen van deze cookies plaatst, heb je geen cookiebanner nodig.

De kernvraag is simpel. Plaatst je website cookies of tracking scripts die niet strikt noodzakelijk zijn? Ja: je hebt een cookiebanner nodig. Nee: je hebt geen cookiebanner nodig. Het probleem is dat 90% van de websites tools gebruikt die cookies plaatsen zonder dat de eigenaar het doorheeft. Google Fonts laadt een extern script. Een embedded YouTube video plaatst cookies. Een social media deelknop van Facebook trackt je bezoekers. Vaak zonder dat de website eigenaar bewust heeft gekozen voor tracking.

De schokkende waarheid over cookie consent tools

Hier wordt het interessant. En verontrustend. De meeste websites gebruiken een cookie consent tool (ook wel Consent Management Platform of CMP genoemd) om de cookiebanner te tonen: Cookiebot, CookieYes, Complianz, OneTrust. Deze tools zijn bedoeld om je website AVG compliant te maken. Maar wat doen deze tools zelf met de data van je bezoekers?

Ze verzamelen data voordat toestemming is gegeven

We hebben de code van de populairste cookie consent plugins en platforms geanalyseerd. Het patroon is vrijwel overal hetzelfde: zodra de cookiebanner wordt geladen, voordat de bezoeker enige keuze heeft gemaakt, stuurt het script al data naar de server van de consent tool provider. Welke data? Het IP-adres van de bezoeker, de user agent (browser en besturingssysteem), de bezochte pagina, de browsertaal, het tijdstip van het bezoek. Sommige tools verzamelen daarnaast actieve plugins, thema informatie en andere site-specifieke data.

Laat dat even bezinken. De tool die bedoeld is om je bezoekers te beschermen tegen tracking, verzamelt zelf bezoekersdata voordat er toestemming is gevraagd. De tool die je installeert om AVG compliant te zijn, is zelf mogelijk niet AVG compliant.

Cookiebot: cross-domain tracking via een gecentraliseerde consent database

We hebben de werking van Cookiebot in detail geanalyseerd. Cookiebot verzamelt IP-adressen, user agents, tijdstippen, geolocatie data en consent logs. Die data wordt tot 12 maanden bewaard. Maar het verontrustende zit dieper: Cookiebot opereert een gecentraliseerde consent database over alle 1.5+ miljoen websites die hun dienst gebruiken. Dat betekent dat als een bezoeker vandaag website A bezoekt en morgen website B, en beide draaien Cookiebot, het technisch mogelijk is om die bezoeker over meerdere domeinen te volgen via IP-adres en user agent combinaties. Cookiebot bouwt in feite een cross-domain tracking netwerk, exact het type surveillance waar de AVG tegen zou moeten beschermen. En ze delen de data met "trusted partners" voor marketing en analytics doeleinden. Wie die partners zijn? Dat staat in de kleine lettertjes van hun privacybeleid, maar niet in de consent popup die jouw bezoekers te zien krijgen.

Complianz: cookiedatabase.org en 350.000+ websites gecentraliseerd

Complianz presenteert zich als "self-hosted" WordPress plugin. Maar de realiteit is genuanceerder. Complianz opereert cookiedatabase.org, een gecentraliseerde database met cookie informatie van meer dan 350.000 websites. De premium versie biedt cross-domain consent synchronisatie, wat per definitie externe verwerking vereist. Technische data zoals IP-adressen, user agents, tijdstippen en geolocatie worden verzameld. En het bedrijfsmodel profiteert van data monetisatie en partnership integraties. "Self-hosted" klinkt goed maar de werkelijkheid is complexer dan de marketingboodschap suggereert.

Het wordt nergens vermeld

De consent popup op je website vertelt je bezoeker over Google Analytics, over Facebook Pixel, over advertentie cookies. Maar de popup vertelt niets over zichzelf. De consent tool die data verzamelt staat niet vermeld in zijn eigen consent popup. Op 99.9% van de websites die deze tools gebruiken wordt de consent tool ook niet vermeld in de privacyverklaring of het cookiebeleid. De bezoeker heeft geen idee dat de tool die hun privacy keuze faciliteert, zelf al hun data heeft verzameld en naar een externe server heeft gestuurd. Voordat de bezoeker uberhaupt op "accepteer" of "weiger" heeft geklikt.

Dit is een schending van AVG Artikel 30 (transparantie over verwerking) en Artikel 5(3) van de ePrivacy Richtlijn (toestemming voor data verwerking). Maar er is geen toezichthouder die ernaar kijkt. De handhaving richt zich op website eigenaren, niet op de plugin providers. Dat is het gat waar deze bedrijven doorheen opereren.

Massa surveillance onder het mom van compliance

Laten we het benoemen voor wat het is. Cookie consent tools die draaien op miljoenen websites en van elke bezoeker op elk van die websites data verzamelen, die data centraliseren in een gecentraliseerde database, die data delen met "trusted partners" en die consent logs tot 12 maanden bewaren: dat is massa surveillance. Het feit dat het verpakt is in een privacy compliance tool maakt het niet minder surveillance. Het maakt het ironischer. Deze bedrijven hebben de perfecte dekmantel gevonden: ze zijn de tool die websites installeren om AVG compliant te zijn. Wie gaat de compliance tool beschuldigen van non-compliance?

Sommige van deze tools sturen data naar de USA of andere niet-EU landen. Zelfs na Schrems II, zelfs na de discussie over adequate beschermingsniveaus. De tool die je installeert om te voorkomen dat Google Analytics data naar de USA stuurt, stuurt zelf data naar de USA. Je kunt dit niet verzinnen.

"Cookie consent tools zijn in veel gevallen een groter privacyprobleem dan helemaal geen banner hebben. Ze verzamelen meer data, delen het met meer partijen en doen het zonder enige toestemming. Het verschil met Google Analytics? Google Analytics staat tenminste vermeld in de cookiebanner."

Heb je een cookiebanner nodig met self-hosted Matomo?

Dit is een punt van discussie in de privacy community. Sommigen zeggen ja, anderen zeggen nee. Onze analyse na uitgebreid onderzoek:

Het argument voor geen banner

Self-hosted Matomo zonder cookies plaatst geen informatie op het apparaat van de bezoeker. Er worden geen cookies gezet, geen local storage gebruikt, geen fingerprinting toegepast. De analytics data (bezochte pagina's, referrer, schermresolutie) wordt verwerkt op dezelfde server als de website zelf. Die data verlaat nooit de server en wordt niet gedeeld met derden.

Technisch gezien is er geen verschil tussen self-hosted Matomo zonder cookies en de standaard serverlogbestanden die elke webserver bijhoudt. Apache en Nginx loggen bij elke paginavisit het IP-adres, de user agent, de bezochte URL en het tijdstip. Dat is precies dezelfde data die Matomo verzamelt. Tools als AWStats en GoAccess, die standaard geinstalleerd zijn op de meeste servers, analyseren die serverlogbestanden en presenteren dezelfde inzichten als Matomo: bezoekers, paginaweergaven, verkeersbronnen.

De ePrivacy Richtlijn vereist toestemming voor het opslaan of uitlezen van informatie op het apparaat van de bezoeker. Self-hosted Matomo zonder cookies doet dat niet. Het leest serverside data die toch al beschikbaar is. De AVG vereist een wettelijke grondslag voor het verwerken van persoonsgegevens. IP-adressen die worden geanonimiseerd (wat Matomo standaard doet) en data die niet wordt gedeeld met derden kan verwerkt worden op basis van gerechtvaardigd belang: je hebt een zakelijk belang om te weten hoeveel bezoekers je website heeft.

Het argument voor wel een banner

Strikte interpretaties van de AVG stellen dat elke verwerking van persoonsgegevens (inclusief geanonimiseerde IP-adressen voordat ze geanonimiseerd worden) toestemming vereist. De Autoriteit Persoonsgegevens heeft geen expliciet standpunt ingenomen over self-hosted cookievrije analytics maar de trend is naar strengere interpretatie.

Onze conclusie

Self-hosted Matomo zonder cookies, met IP anonimisering, zonder data delen met derden, is functioneel equivalent aan serverlogbestanden. Als serverlogbestanden geen toestemming vereisen (en dat doen ze niet), dan vereist Matomo in deze configuratie dat ook niet. Geen enkele toezichthouder heeft een website beboet voor het gebruik van cookievrije self-hosted analytics. Wel zijn er tientallen boetes uitgedeeld voor het gebruik van Google Analytics.

Maar het allerbelangrijkste: het hele debat wordt irrelevant als je geen tracking cookies plaatst en geen data naar externe partijen stuurt. Geen cookies, geen data naar derden, geen discussie.

De veiligste aanpak. Gebruik self-hosted Matomo zonder cookies, met IP anonimisering, op dezelfde server als je website. Deel de data met niemand. Vermeld in je privacyverklaring dat je cookievrije analytics gebruikt voor het meten van websiteverkeer op basis van gerechtvaardigd belang. Geen cookiebanner nodig. Geen juridisch grijs gebied. Geen data bij derden.
De paradox

Cookiebanner vs
geen cookiebanner.

Wat is privacyvriendelijker?

Geen banner (onze aanpak)

  • Nul data naar externe partijen
  • Nul cookies geplaatst
  • Nul tracking scripts geladen
  • Bezoeker ziet direct je website
  • 100% van bezoekers gemeten via cookievrije analytics
  • Geen consent tool die zelf data verzamelt
  • Juridisch helder: niets om toestemming voor te vragen

Cookiebanner (gangbare aanpak)

  • Consent tool stuurt data naar eigen server voor consent
  • Bezoeker moet eerst door privacy popup
  • 30-40% weigert cookies, analytics data onbetrouwbaar
  • Google Analytics stuurt data naar USA
  • Consent tool niet vermeld in eigen consent popup
  • Consent logs bewaard tot 12 maanden door derden
  • Juridisch complex: afhankelijk van correcte implementatie

De enige manier om echt privacyvriendelijk te zijn is om geen dingen te doen die toestemming vereisen.

Wanneer heb je wel een cookiebanner nodig?

We zijn eerlijk: niet elke website kan zonder cookiebanner. Er zijn situaties waarin tracking en cookies onvermijdelijk zijn:

Je draait Google Ads of Facebook Ads

Als je actief adverteert via Google Ads of Facebook/Instagram Ads, heb je de tracking pixels nodig om conversies te meten en campagnes te optimaliseren. Google Analytics en Facebook Pixel plaatsen cookies en sturen data naar de USA. Daarvoor heb je toestemming nodig. Een cookiebanner is dan verplicht. Er is geen manier om Google Ads conversie tracking te doen zonder cookies of data naar Google te sturen.

Je embed externe content

YouTube video's, Google Maps, Vimeo players, social media embeds: ze plaatsen allemaal cookies en sturen data naar de aanbieder. Als je website deze embeds bevat, heb je voor die specifieke elementen toestemming nodig. Een oplossing is om een placeholder te tonen die pas na toestemming de embed laadt. Dat is technisch complexer maar privacyvriendelijker dan een site-brede cookiebanner.

Je gebruikt marketing automation

Tools als HubSpot, ActiveCampaign, Mailchimp met tracking: ze plaatsen cookies om bezoekers te identificeren en hun gedrag te volgen. Als je deze tools gebruikt voor lead scoring of personalisatie, heb je toestemming nodig.

Je gebruikt extern geladen fonts

Google Fonts geladen vanaf fonts.googleapis.com stuurt het IP-adres van je bezoeker naar Google. Het Landgericht München oordeelde in 2022 dat dit een AVG schending is. Als je Google Fonts extern laadt (niet lokaal gehost), heb je strikt genomen toestemming nodig. De oplossing is simpel: host de fonts lokaal. Dan is er geen data transfer en geen toestemming nodig.

De oplossing: bouw een website die geen banner nodig heeft

De fundamentele vraag is niet "welke cookiebanner moet ik gebruiken?" De fundamentele vraag is "kan ik mijn website zo bouwen dat ik geen cookiebanner nodig heb?"

Het antwoord is ja. Dit is hoe:

Vervang Google Analytics door self-hosted Matomo

Cookievrije configuratie, IP anonimisering, data op je eigen server. Dezelfde inzichten, betere datakwaliteit (100% meting in plaats van 60-70%), nul juridisch risico. Lees ons artikel over Google Analytics alternatieven.

Host fonts lokaal

Download de Google Fonts die je website gebruikt en serveer ze van je eigen server. Nul requests naar Google, nul IP-adressen gelekt. Een technische aanpassing die een half uur kost en een juridisch risico permanent elimineert.

Geen externe embeds of privacy-vriendelijke alternatieven

Vervang YouTube embeds door een thumbnail met een afspeelknop die pas na klik de video laadt. Vervang Google Maps door OpenStreetMap. Vervang Facebook share buttons door simpele links. Elke externe embed die je elimineert is een cookie minder en een data transfer minder.

Geen externe tracking scripts

Geen Facebook Pixel, geen Hotjar, geen Microsoft Clarity, geen Google Tag Manager, geen Intercom, geen Drift. Als je het niet nodig hebt, laad het niet. Als je het wel nodig hebt, vraag je af of het de cookiebanner (en het verlies van 30-40% van je bezoekers in de banner) waard is.

Host alles zelf op Europese servers

Geen Cloudflare CDN, geen AWS, geen Google Cloud. Eigen servers in Europa waar alle data onder jouw controle blijft. Geen derde partijen die data verwerken, geen verwerkersovereenkomsten die je moet ondertekenen, geen juridische constructies die misschien wel of misschien niet standhouden bij de rechter.

"De enige manier om het cookie consent probleem echt op te lossen is om het niet te hebben. Bouw een website die geen tracking doet die toestemming vereist. Dan heb je geen banner nodig, geen consent tool die zelf data lekt en geen juridisch risico."

De volledige checklist voor AVG compliance vind je in ons AVG compliance checklist artikel.

Check je website

Heb jij een cookiebanner nodig?

Scan je website en zie direct welke cookies, trackers en externe scripts actief zijn. Als de scanner nul externe domeinen vindt, heb je geen cookiebanner nodig.

Veelgestelde vragen

Veelgestelde vragen over cookiebanners.

Wanneer je website niet-essentiele cookies plaatst of data naar externe partijen stuurt. Google Analytics, Facebook Pixel, extern geladen fonts, YouTube embeds, marketing automation tools.
Wanneer je website alleen strikt noodzakelijke cookies plaatst en geen data naar externe partijen stuurt. Self-hosted analytics zonder cookies, lokaal gehoste fonts, geen externe embeds of tracking scripts.
Ja. Onze analyse toont dat populaire consent tools (Cookiebot, CookieYes, Complianz, OneTrust) bezoekersdata naar hun eigen servers sturen voordat de bezoeker toestemming heeft gegeven. Dit staat zelden vermeld in de consent popup zelf.
Ja, mits correct geconfigureerd met IP anonimisering en zonder data delen met derden. Functioneel equivalent aan serverlogbestanden. Geen toezichthouder heeft een website beboet voor cookievrije self-hosted analytics.
Omdat ze niet gevolgd willen worden. 30-40% weigert niet-essentiele cookies. Dat percentage stijgt elk jaar.
Het Landgericht München oordeelde in 2022 dat het extern laden van Google Fonts een AVG schending is. De oplossing: host de fonts lokaal.
Ja, en dat is privacyvriendelijker. Een eigen consent mechanisme dat consent opslaat in een first-party cookie stuurt geen data naar externe partijen.
Niet automatisch. De banner moet correct geïmplementeerd zijn: geen pre-ticked boxes, duidelijke informatie, per categorie weigeren, werkende weigering die cookies daadwerkelijk blokkeert.
5-10% conversieverlies door de banner zelf plus 30-40% dataverlies door bezoekers die cookies weigeren.
Cloudflare routeert al het verkeer via hun servers, voornamelijk in de USA. Het IP-adres van elke bezoeker wordt door Cloudflare verwerkt.
Door geen externe scripts te laden, geen externe fonts, geen externe CDN’s, geen tracking cookies. Self-hosted Matomo, lokale fonts, eigen servers. Lees meer.
Ja. We analyseren welke scripts en cookies je website gebruikt en vervangen ze door privacyvriendelijke alternatieven. Bekijk onze website verbeteren pagina.

Wil je af van je cookiebanner?

We analyseren je website, identificeren alle trackers en cookies en vervangen ze door privacyvriendelijke alternatieven.

Neem contact op Bekijk onze privacy aanpak